Kwetsbaarheden verholpen in ClearPass Policy Manager

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in ClearPass Policy Manager
Advisory ID     : NCSC-2019-0068
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2018-7063, CVE-2018-7065, CVE-2018-7066,
                  CVE-2018-7067, CVE-2018-7079
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : high
                  Omzeilen van beveiligingsmaatregel
                  Remote code execution (Gebruikersrechten)
                  SQL Injection
                  Verhoogde gebruikersrechten
Uitgiftedatum   : 20190118
Toepassing      : Aruba CPPM (ClearPass Policy Manager)
Versie(s)       : <= 6.7.6
                  <= 6.6.10
Platform(s)     :

Beschrijving
   Aruba heeft een update vrijgegeven voor ClearPass Policy Manager om
   enkele kwetsbaarheden te verhelpen.

   De kwetsbaarheid met kenmerk CVE-2018-7063 stelt een kwaadwillende
   in staat een beveiligingsmaatregel te omzeilen. De kwetsbaarheid
   maakt het mogelijk om lees- en schrijfacties uit te voeren via de
   XML-API voor uitgeschakelde accounts.

   De kwetsbaarheid met kenmerk CVE-2018-7065 stelt een kwaadwillende
   in staat om SQL injection-aanvallen uit te voeren. De kwaadwillende
   dient hiervoor geauthenticeerd te zijn om een aanval uit te voeren
   waarbij hoge privileges benodigd te zijn.

   De kwetsbaarheid met kenmerk CVE-2018-7066 stelt een
   geauthenticeerde kwaadwillende in staat om willekeurige code uit te
   voeren op verbonden endpoints. De kwaadwillende dient geautoriseerd
   te zijn met een account dat hoge privileges heeft. De kwetsbaarheid
   wordt veroorzaakt door een fout in de API. Misbruik van de
   kwetsbaarheid is alleen mogelijk wanneer credentials van endpoints
   zijn verwerkt in de CLI-instellingen in ClearPass configuratie.

   De kwetsbaarheid met kenmerk CVE-2018-7067 stelt een kwaadwillende
   op afstand in staat het cluster te compromitteren door het versturen
   van een malafine API-call. Een voorwaarde voor misbruik van de
   kwetsbaarheid is dat de kwaadwillende toegang heeft tot de
   administratieve webinterface.

   De kwetsbaarheid met kenmerk CVE-2018-7079 stelt een
   geauthenticeerde kwaadwillende in staat om verhoogde rechten
   verschaffen op het kwetsbare systeem. De kwaadwillende kan
   willekeurige administratieve taken uitvoeren zonder dat de persoon
   daarvoor geauthoriseerd is.

Mogelijke oplossingen
   Er zijn patches beschikbaar gemaakt om de kwetsbaarheden te
   verhelpen. Zie de volgende pagina voor meer informatie:

   https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2018-007.txt

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.1 (Build 824)
Charset: utf-8
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=NGBU
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig